尝试使提交按钮的隐藏取消,使用了最简单暴力的方法,进入到浏览器的开发者模式中,手动删掉了disabled=””,成功通关
?
?...0x04 XML Injection(XML注入)
原理:AJAX应用程序使用XML与服务器交换信息.恶意攻击者可以轻松拦截和更改此XML。
目标:尝试使自己获得更多的奖励。...在页面定位到提交按钮,发现,点击按钮触发processData()函数,通过页面搜索,找到这个函数的位置,可知,它用来判断输入,来与后台交互
?
?...目标:寻找优惠券的代码并利用客户端验证提交成本为0的订单。
1.寻找优惠券代码
定位到输入框的位置,发现,存在一个键盘事件,会使用AJAX后台检测输入,
?...定位到form表单处,看到触发事件的位置是一个JS文件
?
找到此文件的isValidCoupon(),有一个判断语句,大概就是判断优惠券代码对错的了
?
?